Burp Suite ile Web Uygulama Güvenliğine Giriş

Web uygulamalarının güvenliği, modern siber güvenliğin en kritik alanlarından biridir. Bu alanda en çok kullanılan araçlardan biri de Burp Suite'tir. Bu yazıda Burp Suite'in temel kullanımını, işlevlerini ve bir web uygulaması testine nasıl başlanacağını sade ve uygulamalı biçimde anlatacağım.

6/19/20252 min read

🌍 Burp Suite Nedir?

Burp Suite, PortSwigger firması tarafından geliştirilen, web uygulamalarının güvenlik testlerinde kullanılan kapsamlı bir proxy tabanlı araçtır. HTTP isteklerini ve yanıtlarını yakalayıp analiz etmenize, değiştirmenize ve yeniden göndermenize olanak tanır.

Sunduğu başlıca modüller:

  • Proxy: Trafiği yakalama ve değiştirme

  • Repeater: İstekleri tekrar gönderme

  • Intruder: Saldırı otomasyonu (brute force, fuzzing)

  • Scanner (Pro versiyon): Otomatik güvenlik açığı tarayıcı

  • Decoder & Comparer: Kodlama/karşılaştırma araçları

🔧 Kurulum ve Yapılandırma

✅ 1. Java Gereksinimi

Burp Suite Java tabanlıdır. Sisteminizde Java 11+ kurulu olmalıdır.

java -version

✅ 2. Burp Suite'i İndirin

  • Resmi Site: https://portswigger.net/burp

  • Community ve Professional olmak üzere iki sürüm mevcuttur. Başlangıç için Community sürümü yeterlidir.

✅ 3. Tarayıcı Ayarları (Proxy Yapılandırması)

Burp Suite varsayılan olarak 127.0.0.1:8080 portunda dinler.

  1. Tarayıcıda manuel proxy ayarı: 127.0.0.1:8080

  2. Firefox tercih edilir (kolay yapılandırma ve sertifika hataları daha az)

  3. Sertifika yükleme: http://burp adresinden CA sertifikasını indirin ve tarayıcıya tanıtın.

🎓 Uygulamalı Test: Basit Bir Giriş Formunu Ele Alalım

🔹 Aşama 1: Trafiği Yakalama

  • Burp Suite > Proxy > Intercept sekmesini aktif edin

  • Hedef siteye tarayıcıdan bağlanın

  • İstek yakalandığında düzenleyebilir ya da ileri gönderebilirsiniz

🔹 Aşama 2: Repeater ile Test

  • Yakalanan isteği "Send to Repeater" ile taşıyın

  • Repeater sekmesinde parametrelerle oynayarak uygulamanın davranışını test edin

🔹 Aşama 3: Intruder ile Brute Force

  • Giriş formu için Intruder kullanarak şifre denemeleri yapabilirsiniz

  • Payload listesi oluşturabilir ve çeşitli tekniklerle denemeler yüretebilirsiniz (dictionary attack, fuzzing, vs.)

📊 Pratik Tüyolar

  • Hedefinizin yasal olarak test edilmeye uygun olduğundan emin olun (izinli test ortamları kullanın).

  • Burp Suite'i büyük CTF platformlarında (HackTheBox, TryHackMe) kullanarak pratik yapın.

  • Güncel OWASP Top 10 listesine göre zafiyet tespiti yapmaya odaklanın.

Sonuç

Burp Suite, web uygulama sızma testlerinin en temel aracıdır. Doğru kurulum, sağlam bir test mantığı ve bol pratik ile siber güvenlik alanında uzmanlaşma yolunda büyük bir adım atabilirsiniz. Bir sonraki yazıda Burp Suite ile CSRF, XSS ve SQL Injection gibi zafiyetlerin testine odaklanacağız.